勒索病毒變種WannaSister免疫軟件2017 最新版

勒索病毒變種WannaSister免疫軟件，針對勒索病毒已經(jīng)找到了有效的防御方法，而且周一開始病毒傳播已在減弱，用戶只要掌握正確的方法就可以避免，廣大網(wǎng)友不必太驚慌，關(guān)注騰訊反病毒實驗室和騰訊電腦管家的研究和防御方案，也呼吁行業(yè)理性應(yīng)對。

勒索病毒W(wǎng)annaSister簡介

從5月13日開始在全球蔓延的勒索病毒近日出現(xiàn)了新的變種。騰訊安全反病毒實驗室5月16日表示，他們觀測發(fā)現(xiàn)部分勒索病毒樣本已經(jīng)從“想哭WannaCry”變成了“想妹妹(WannaSister)”。

席卷全球的WannaCry勒索病毒，已經(jīng)擴散至100多個國家和地區(qū)，包括醫(yī)院、教育機構(gòu)、政府部門在內(nèi)的多類機構(gòu)遭到攻擊。勒索病毒結(jié)合蠕蟲的方式進(jìn)行傳播，是此次攻擊事件大規(guī)模爆發(fā)的重要原因。

截至5月15日，已經(jīng)有近4萬美元的贖金被支付，與全球中毒用戶規(guī)模來看，這僅僅是非常小的一個支付比例。

騰訊反病毒實驗室初步判斷，WannaCry病毒在爆發(fā)之前已經(jīng)存在于互聯(lián)網(wǎng)中，并且病毒目前仍然在進(jìn)行變種。在監(jiān)控到的樣本中，發(fā)現(xiàn)疑似黑客的開發(fā)路徑，有的樣本名稱已經(jīng)變?yōu)椤癢annaSister.exe”，從“想哭(WannaCry)”變成“想妹妹(WannaSister)”。

最新資訊

首先給你兩個結(jié)論定定心：

1.發(fā)現(xiàn)者騰訊反病毒實驗室告訴雷鋒網(wǎng)：“不得不承認(rèn)此次WannaCry勒索病毒影響席卷全球，短期內(nèi)被瞬間引爆，但實際破壞性還不算大，我們的研究和輸出希望幫助大家理性了解并面對，并不希望被放大和恐慌。此次我們認(rèn)為這次勒索病毒的作惡手法沒有顯著變化，只是這次與微軟漏洞結(jié)合�！�

2.針對勒索病毒已經(jīng)找到了有效的防御方法，而且周一開始病毒傳播已在減弱，用戶只要掌握正確的方法就可以避免，廣大網(wǎng)友不必太驚慌，關(guān)注騰訊安全聯(lián)合實驗室和騰訊電腦管家的研究和防御方案，也呼吁行業(yè)理性應(yīng)對，我們也會繼續(xù)追蹤病毒演變。

簡單而言，就是：第一，“想妹妹”利用的依然是“想哭”利用的微軟漏洞，第二，如果你挺過了“想哭”然后成功打了補丁，關(guān)閉了端口，并采取了一些預(yù)防措施，“想妹妹”基本不會搞哭你。

那沒有挺過“想哭”勒索蠕蟲的用戶又不長記性、不做措施呢？也許，雷鋒網(wǎng)猜測，“想妹妹”會繼續(xù)搞哭你？

看到這里不要以為就可以點右上角的“叉叉”了，作為一個求知欲旺盛的讀者，你或許可以了解一下，“想妹妹”采取了哪些對抗升級手段？還有，“想哥哥”“想爸爸”“想爺爺”……這個想念全世界的勒索蠕蟲究竟可以頑強到哪種程度，它來了一輪又一輪的幾率有多大？

WannaCry勒索病毒時間軸

傳播方式
根據(jù)目前我們掌握的信息，病毒在12日大規(guī)模爆發(fā)之前，很有可能就已經(jīng)通過掛馬的方式在網(wǎng)絡(luò)中進(jìn)行傳播。在一個來自巴西被掛馬的網(wǎng)站上可以下載到一個混淆的html文件，html會去下載一個前綴為task的exe文件，而諸多信息表明，此文件很有可能與12號爆發(fā)的WannaCry勒索病毒有著緊密關(guān)系。
根據(jù)騰訊反病毒實驗室威脅情報數(shù)據(jù)庫中查詢得知，此文件第一次出現(xiàn)的時間是2017年5月9號。WannaCry的傳播方式，最早很可能是通過掛馬的方式進(jìn)行傳播。12號爆發(fā)的原因，正是因為黑客更換了傳播的武器庫，挑選了泄露的MS17-010漏洞，才造成這次大規(guī)模的爆發(fā)。當(dāng)有其他更具殺傷力的武器時，黑客也一定會第一時間利用。
對抗手段
當(dāng)傳播方式鳥槍換大炮后，黑客也在炮彈上開始下功夫。在騰訊反病毒實驗室已獲取的樣本中找到一個名為WannaSister的樣本，而這個樣本應(yīng)該是病毒作者持續(xù)更新，用來逃避殺毒軟件查殺的對抗手段。

此樣本首次出現(xiàn)在13號，這說明自從病毒爆發(fā)后，作者也在持續(xù)更新，正在想辦法讓大家從“WannaCry想哭”更新到“WannaSister想妹妹”。就目前掌握的信息，自12號病毒爆發(fā)以后，病毒樣本出現(xiàn)了至少4種方式來對抗安全軟件的查殺，這也再次印證了WannaCry還在一直演化。

在分析的過程中，我們發(fā)現(xiàn)已經(jīng)有樣本在原有病毒的基礎(chǔ)上進(jìn)行了加殼的處理，以此來對抗靜態(tài)引擎的查殺，而這個樣本最早出現(xiàn)在12號的半夜11點左右，可見病毒作者在12號病毒爆發(fā)后的當(dāng)天，就已經(jīng)開始著手進(jìn)行免殺對抗。下圖為殼的信息。

通過加殼后，分析人員無法直接看到有效的字符串信息，這種方式可以對抗殺毒軟件靜態(tài)字符串查殺。

通過使用分析軟件OD脫殼后，就可以看到WannaCry的關(guān)鍵字符串。包括c.wnry加密后的文件，wncry@2ol7解密壓縮包的密碼，及作者的3個比特幣地址等。

病毒作者并非只使用了一款加殼工具對病毒進(jìn)行加密，在其他樣本中，也發(fā)現(xiàn)作者使用了安全行業(yè)公認(rèn)的強殼VMP進(jìn)行加密，而這種加密方式，使被加密過的樣本更加難以分析。

偽裝
在收集到的樣本中，有一類樣本在代碼中加入了許多正常字符串信息，在字符串信息中添加了許多圖片鏈接，并且把WannaCry病毒加密后，放在了自己的資源文件下。這樣即可以混淆病毒分析人員造成誤導(dǎo)，同時也可以躲避殺軟的查殺。下圖展示了文件中的正常圖片鏈接
當(dāng)我們打開圖片鏈接時，可以看到一副正常的圖片。誤導(dǎo)用戶，讓用戶覺得沒有什么惡意事情發(fā)生。

但實際上病毒已經(jīng)開始運行，會通過啟動傀儡進(jìn)程notepad，進(jìn)一步掩飾自己的惡意行為。

隨后解密資源文件，并將資源文件寫入到notepad進(jìn)程中，這樣就借助傀儡進(jìn)程啟動了惡意代碼。

在分析14號的樣本中，我們發(fā)現(xiàn)病毒作者開始對病毒文件加數(shù)字簽名證書，用簽名證書的的方式來逃避殺毒軟件的查殺。但是簽名證書并不是有效的，這也能夠看出作者添加證書也許是臨時起意，并沒有事先準(zhǔn)備好。

我們發(fā)現(xiàn)病毒作者對同一病毒文件進(jìn)行了多次簽名，嘗試?yán)@過殺軟的方法。在騰訊反病毒實驗室獲取的情報當(dāng)中，我們可以發(fā)現(xiàn)兩次簽名時間僅間隔9秒鐘，并且樣本的名字也只差1個字符。

病毒作者在更新的樣本中，也增加了反調(diào)試手法：
1 通過人為制造SEH異常，改變程序的執(zhí)行流程